NukeSped“后門”重現(xiàn)：朝鮮黑客組織 Lazarus 利用 Log4j 漏洞攻擊 VMware 服務器

技術編輯：MissD丨發(fā)自 思否編輯部

公眾號：SegmentFault

---

近日，AhnLab 安全應急響應中心（ASEC）在一份新報告中表示：“自 2022 年 4 月以來，黑客組織 Lazarus 一直通過 Log4j 遠程代碼執(zhí)行漏洞，在未應用安全補丁的 VMware Horizon 產品上收集竊取信息的有效負載?！?/span>

據稱，這些攻擊是在 4 月份首次被發(fā)現(xiàn)的，朝鮮黑客組織 Lazarus 利用 NukeSped 安裝了一個額外的基于控制臺的信息竊取惡意軟件，該軟件可收集存儲在 Web 瀏覽器上的信息。

NukeSped 是一個可根據從遠程攻擊者控制的域接收命令以執(zhí)行各種惡意活動的“后門”。最早于 2018 年夏天被發(fā)現(xiàn)與朝鮮黑客有關，隨后被發(fā)現(xiàn)與黑客組織 Lazarus 策劃的 2020 年活動有關。

該 NukeSped 后門的一些關鍵功能包括：捕捉擊鍵和截屏、訪問設備的網絡攝像頭、丟棄額外的有效載荷（如信息竊取者）等。

還記得去年 12 月份，互聯(lián)網上突然曝出了 Log4j2 漏洞“危機”，一時間引發(fā)全球科技巨頭關注。隨后，為了應對這起安全事件，不少科技公司企業(yè)都連夜修補了受影響的系統(tǒng)。

相關閱讀：高危 Bug ！Apache Log4j2 遠程代碼執(zhí)行漏洞：官方正加急修復中 ！

VMware 也在去年 12 月發(fā)布了 VMware Horizon 服務器的更新版本，解決了該漏洞問題，同時該公司還發(fā)布了許多其他包含易受攻擊的 Log4j 版本的產品的更新。

盡管如此，針對 VMware Horizon 服務器的 Log4j 攻擊仍舊不斷持續(xù)且有增無減。越來越多的黑客及勒索組織接連在未應用安全補丁的 VMware Horizon 虛擬桌面平臺中大肆利用 Log4Shell 漏洞來部署勒索軟件及其他惡意程序包。

據微軟方面證實，早在今年 1 月 4 日，就有一個名為 DEV-0401 的勒索軟件團伙利用了 VMware Horizon 中的漏洞（CVE-2021-44228）成功入侵目標系統(tǒng)且植入了勒索軟件。

此次，朝鮮黑客組織 Lazarus 則是通過 Log4j 遠程代碼執(zhí)行漏洞注入后門的方式來對 VMware Horizon 實施攻擊的，CVE-2021-44228 (log4Shell) 是該已被跟蹤且用以識別該漏洞的 CVE ID，它影響了包括 VMware Horizon 在內的多種產品。

研究人員表示，這些黑客攻擊者通過使用后門惡意軟件“發(fā)送命令/行命令”來收集額外信息，“收集的信息可以稍后用于橫向移動攻擊?！?/span>

“攻擊者利用 NukeSped 額外植入 infostealer，發(fā)現(xiàn)的兩種惡意軟件類型都是控制臺類型，并未將泄漏結果保存在單獨的文件中。因此，可以假定攻擊者遠程控制用戶 PC 的 GUI 屏幕或 pipeline 形式的泄漏數據”，研究人員補充稱。

參考鏈接：http://en.hackdig.com/05/345441.htm

-?END -